De acordo com informações recentes, o Google está trabalhando em uma correção para uma falha no Google Chrome que pode permitir o roubo de credenciais no Windows.

Falha no Google Chrome permite o roubo de credenciais no Windows

Se explorada com sucesso, a falha no navegador permite que o criminoso instale e execute automaticamente um arquivo malicioso que poderá roubar senhas e nomes de usuário.

O pesquisador de segurança Bosko Stankovic, da DefenseCode, detalhou o processo para o roubo de credenciais, que começa com o usuário sendo enganado para que ele baixe e execute um arquivo no formato . scf (Windows Explorer Shell Command File) disfarçado como um ícone para mostrar a área de trabalho. Esse formato existe desde a época do Windows 98.

O arquivo pode então ser usado para enganar o Windows e fazer com que ele tente se logar em um servidor SMB controlado remotamente pelo criminoso. Este servidor capturará o hash da senha do usuário usada para autenticação.

O hash poderá ser quebrado offline ou usado pelo criminoso para se passar pela vítima em um serviço, como o Microsoft Exchange, que aceita o mesmo tipo de autenticação baseada em NTLM.

O ataque se aproveita da forma como o navegador do Google e o Windows lidam com arquivos no formato .scf. O problema no Google Chrome é que ele não toma os mesmos cuidados com arquivos .scf que toma com os no formato .lnk, que recebem uma extensão .download.

Os arquivos .lnk começaram a receber a extensão depois que foi descoberto que hackers a serviço de agências governamentais estavam utilizando arquivos neste formato para infectar dispositivos com Windows com o malware Stuxnet.

O Google confirmou que está trabalhando em uma correção para a falha no Google Chrome e que ela também afeta outras versões do Windows além do Windows 10.

Falha no Google Chrome permite o roubo de credenciais no Windows 10
Um segundo problema com o navegador é que ele depende do comportamento padrão do Windows após o download de arquivos no formato formato .scf. Segundo Stankovic, o Google Chrome baixa automaticamente arquivos considerados como “seguros”.

Isso pode parecer algo positivo caso o usuário precise executar manualmente o arquivo, mas no Windows o arquivo .scf iniciará a requisição de autenticação no servidor SMB do criminoso assim que o diretório de download for aberto no Explorador de Arquivos.

Não é necessário clicar nele ou abrir o arquivo – o Explorador de Arquivos tentará exibir o “ícone” automaticamente.

Stankovic testou o diversos antivírus e nenhum deles foi capaz de barrar os arquivos formato .scf.

Até que uma correção definitiva seja disponibilizada, os usuários do navegador do Google podem se proteger temporariamente desativando os downloads automáticos, o que pode ser feito marcando a opção abaixo, ou restringindo/desativando o tráfego do protocolo SMB:

  • CLEBER

    Baboo Chrome e Firefox também o Avira estavam bloqueando o site dizendo que o mesmo não era seguro por usar domínio proxy e que nós usuários estaria exposto à ataques maliciosos. Você estava hackeado?

    • Nope. O site BABOO utiliza certificado digital válido e atualizado da Digicert, mas também o serviço de CDN da Sucuri, cujo certificado digital da Let´s Encrypt venceu nessa madrugada. Isso já foi resolvido e tudo está OK: https://www.ssllabs.com/ssltest/analyze.html?d=www.baboo.com.br :)

      • CLEBER

        Legal

      • rafael

        Eu uso Clouflare, conheci Sucuri por aqui via uma vez que o site ficou offline.
        Tem alguma vantagem um pelo outro? Se sim, qual (is) ?

        • CloudFlare é muito bom, mas a Sucuri tem o Sucuri Firewall que inclui Website Application Firewall (WAF) e Intrusion Prevention System (IPS), além de CDN (inferior ao CloudFlare, mas útil do mesmo jeito)..

          • rafael

            Legal mais o Cloudflare também tem o recurso WAF, basicamente eu só uso WAF e CDN. IPS não sei te dizer. CDN tem até na função gratuita. Vou experimentar em algum site o Sucuri.

          • A Sucuri é mais focada em segurança, enquanto a CloudFlare em disponibilidade: enquanto a CloudFlare se foca no seu serviço de CDN e também tem WAF, a Sucuri se foca em WAF e também tem CDN :)

            O BABOO usava CloudFlare até o final do ano passado, mas achei desnecessário pois a CDN da Sucuri é suficiente..

          • rafael

            Agora sim! Entendido. Baboo você que é o rei!! Existe licença por volume de Windows Home ? :P

          • Eu acredito que VL se aplica somente às versões Pro, Enterprise e Education..

  • Celso

    Baboo, o que aconteceu que o Eset estava bloqueando o acesso ao site?

    Parece que até navegadores estavam bloqueando tbm..

  • Isaias Freitas

    Mais hein.

  • roberto

    É por isso que uso o Opera, melhor não tem.

    • Isaias Freitas

      Gosto o Opera, instalei ele e nao sei pq as imagens dos sites nao abrem .

      • Celso

        Eu não utilizo o Opera, mas pode ser alguma extensão instalada, mas provavelmente deve ser flash player desativado ou desatualizado, já que o Opera depende 100% dele..

        • Isaias Freitas

          Opa. Reinstalei ele, parece que resolveu.

    • Raito Miziguel
  • Luiz

    Como medida preventiva basta não usar? Qual a sugestão, Firefox?

    • Romualdo

      Basta marcar o checkbox indicado na imagem mais acima. Assim, se algo for ser baixado sem que você tenha mandado baixar, vai aparecer a pergunta ( salvar onde? ), se você nao mandou baixar nada, então é só cancelar.

      • Luiz

        Vi agora no alto do texto. Obrigado.

    • roberto

      Opera é o melhor navegador amigo.

    • CLEBER

      É complicado o Firefox é tenso tem atraso em resposta à GPU e mestre em travar. Opera é ótimo más é software chinês então não é confiável. O IE 11 já era o Edge em aprimoramento. Cara continuarei com o Chrome usar um bom antivírus com extensão no navegador.

      • Luiz

        Obrigado.

        • CLEBER

          Beleza boa sorte em sua escolha